|
从2008 年开始,英特尔开始为几乎每一颗芯片引入了所谓的管理引擎IME(Intel Management Engine) ,你可将之视为 CPU 更上一层的处理器,尽管英特尔表示IME能够在主操作系统使用的过程中独立执行一些管理任务,但据消息称,英特尔CPU管理引擎再曝安全漏洞,黑客仅用USB就能让你的电脑被攻破。
英特尔CPU管理引擎再曝安全漏洞 图1 Intel Management Engine(IME,英特尔管理引擎) 是所有2008 年以后发布的 CPU 都必备的组件,我们可以把它看作是 CPU 上的CPU,它负责计算机运行时主操作系统所分离出的任务。但这项“黑箱”特性一直被电子前沿基金会(EFF)等组织所诟病,即使在计算机关机的情况下,拥有IME这样一个可以控制硬件和网络的“黑匣子”意味着重大的安全和隐私风险。但Intel 坚决主张它可以用来作远程管理任务。 英特尔CPU管理引擎再曝安全漏洞 图2 事实证明,EFF的担心并非杞人忧天。安全公司 Positive Technologies 报告称,黑客可以通过USB执行计算机上的未签名代码来运行IME。这次袭击的具体细节还不得而知,但是从我们现在所知的来看,这是个坏消息。 英特尔CPU管理引擎再曝安全漏洞 图3 幸运的是,这个特殊的袭击媒介只能影响Skylake 和更高级别版本的处理器s,虽然几乎每个在2008 年后发行的 Intel 处理器 都包含了IME这个组件。 这已经不是研究者第一次在IME中发现重大安全问题了。这一次的主要问题在于它是可以USB 完成攻击的,这是一个极其常见的攻击媒介。比如说,被用于暂时干扰伊朗的核计划的 Stuxnet 恶意软件,最初就是通过感染 USB 实现最终落地。 让人无奈的是,想要完全移除IME是不可能的。它是一个物理组成部分,嵌入在你电脑 处理器的核心。但是,我们可以通过切换IME的固件大概将其中断。有趣的是,现在禁用这项技术的电脑正变得越来越多。 在旧金山公司,Purism 出售没有IME 的手提电脑。当问到关于这件事的看法时,Purism 的 CEO Todd Weaver 说道:“Intel 的 IME 长期以来在理论上的威胁已经不再是理论。通过高于硬件而低于软件的途径就可以访问 Intel 机器意味着攻击者或者犯罪者可以掌控一切:加密储存、密钥、密码、详细的财政信息等。所有你希望是安全的东西都不再安全。” 他补充道:“Purism 之前废除了我们笔记本电脑上的管理引擎就是因为我们知道这个理论上的威胁成为现实是迟早的事情。Purism 是唯一在默认情况下禁用管理引擎的公司,而且我们在硬件上增强了安全性,使全球的用户受益。” |
